spring sercurity를 통해서 특정 행위 허용

안녕하세요. 강사님 좋은 강의해주셔서 감사합니다.

제가 시큐리티에 jwt를 사용해서 rest api 를 개발중인데요.제가 강의를 아직 덜 보았지만 DB를 통해서 권한 관리하는 방법을 사용중입니다..아래 처럼 사용중입니다.

개발중 문제가 하나 있는데 게시판 같은 글을 삭제 할때 보통 해당 url과 method까지 추가해서 권한을 부여 하고있거든요.

예를 들어 /api/posts/*, DELETE를 추가하고 권한은 ROLE_ADMIN, 과 ROLE_USER를 설정 했습니다.

그럼 해당 url의 method는 권한을 체크하여 허용하거나 불허 합니다.

다만  이 글이 작성자 혹은 관리자만 삭제 할수 있어야 하는데 매번 컨트롤러에서 유저 체크하고 권한 체크하는 코드를

넣어줘야 하는가 궁금증이 생겨 찾아보니 인터셉터에서 url과 method 를 체크하는 벙법이 있었고 아래 처럼 다른 분의 질문에

이런식으로 예시를 들어주셨더라구요. 그런데 아래 메소드의 파라미터의 user는 로그인한 user객체일텐데 제가 지우거나 수정

해야 할 글의 생정자id는 어떻게 가져와 비교를 하시는건가요?

@PeAuthorize에 있는걸로는 잘 이해가 안되더라구요.

rest api로 개발 하다보니 url은 /api/posts/1 과 같이 게시글 id만 보내는 상황입니다.,

답변 부탁드리겠습니다. 감사합니다.

// 로그인한 사용자이고 본인인 경우나 혹은 전체 관리자인 경우 수정 메서드가 실행되고 그렇지 않을 경우엔
// 403 에러 발생함
@PreAuthorize("isAuthenticated() and (( #user.name == principal.name ) or hasRole('ROLE_ADMIN'))")
@RequestMapping( value = "", method = RequestMethod.PUT)
public ResponseEntity<Message> updateUser(User user ){
    messageService.updateMessage( "메시지 저장");
    return new ResponseEntity<Message>( new Message("수정성공"), HttpStatus.OK );
}